WatchGuard Wi-Fi Cloud AP आणि अतिथी WiFi: Purple सह captive portal सेटअप

इंटिग्रेशन ब्रीफिंगमध्ये आपले स्वागत आहे. आज आपण WatchGuard Firebox आणि Access Point चे Purple WiFi सह इंटिग्रेशन पाहणार आहोत. आयटी मॅनेजर, नेटवर्क आर्किटेक्ट आणि वेन्यू ऑपरेशन्स डायरेक्टर्स ज्यांना सुरक्षित, स्केलेबल वायरलेस इन्फ्रास्ट्रक्चर तैनात करायचे आहे, त्यांच्यासाठी हा एक तांत्रिक प्लेबुक आहे. आम्ही Guest WiFi Captive Portals, 802.1X वापरून सुरक्षित Staff WiFi आणि WatchGuard Private Pre-Shared Keys म्हणजेच PPSK चा वापर करून मल्टी - टेनंट सेगमेंटेशन पाहणार आहोत. थेट मुख्य विषयाकडे वळूया. जेव्हा आपण स्टेडियम, मोठे रिटेल सेंटर किंवा मल्टि - ड्वेलिंग युनिट यासारख्या गुंतागुंतीच्या वेन्यूचे व्यवस्थापन करत असता, तेव्हा नेटवर्कवर कोणाला ॲक्सेस मिळतो आणि कनेक्ट झाल्यावर ते काय करू शकतात यावर आपले अचूक नियंत्रण असणे आवश्यक आहे. मार्केटिंगमधून महसूल मिळवण्यासाठी आपल्याला फर्स्ट - पार्टी डेटा कॅप्चर करणे देखील आवश्यक असते. WatchGuard युनिफाइड सुरक्षा प्लॅटफॉर्म आणि हार्डवेअर प्रदान करते. Purple क्लाउड ओव्हरले, आयडेंटिटी मॅनेजमेंट आणि ॲनालिटिक्स प्रदान करते. या दोन्हीचे इंटिग्रेशन करून, आपण आयडेंटिटी - आधारित ॲक्सेस कंट्रोल स्वयंचलित करता. यामुळे स्वतंत्र गेस्ट आणि स्टाफ गेटवेची आवश्यकता उरत नाही, ज्यामुळे हार्डवेअरचा खर्च कमी होतो आणि व्यवस्थापन सोपे होते. Purple सध्या ८०,००० पेक्षा जास्त थेट वेन्यूजसाठी सेवा देत आहे आणि फक्त २०२४ मध्येच त्यांनी ४४० दशलक्ष लॉगइन्स प्रविष्ट केले आहेत, त्यामुळे प्लॅटफॉर्म आपण व्यवस्थापित करत असलेल्या कोणत्याही वेन्यूच्या स्केलला हाताळण्यासाठी तयार केला गेला आहे. आता तांत्रिक सखोल विश्लेषणाकडे वळूया. हे आर्किटेक्चर मानक RADIUS प्रोटोकॉल्स आणि HTTP रिडायरेक्शनवर अवलंबून आहे. आमच्याकडे तीन मुख्य ॲक्सेस टियर्स आहेत. पहिले, Guest WiFi. हे एक ओपन SSID आहे. WatchGuard AP HTTP विनंत्या अडवतो आणि वापरकर्त्याला Purple च्या होस्ट केलेल्या स्पॅश पेजवर रिडायरेक्ट करतो. दुसरे, Staff WiFi. हे 802.1X वापरणारे सुरक्षित WPA3 - Enterprise SSID आहे. डिव्हाइसेस EAP-TLS किंवा PEAP वापरून थेट Purple च्या RADIUS सर्व्हरवर ऑथेंटिकेट होतात. तिसरे, मल्टी - टेनंट WiFi. हे WatchGuard PPSK वापरते. एकाधिक वापरकर्ते एकाच SSID शी कनेक्ट होतात, परंतु प्रत्येकजण एक युनिक पासवर्ड वापरतो. WatchGuard AP Purple च्या RADIUS सर्व्हरला क्वेरी पाठवतो, जो नंतर त्या विशिष्ट की च्या आधारे डायनॅमिकपणे VLAN नियुक्त करतो. तर, आपण Guest WiFi Captive Portal कसे कॉन्फिगर करू? पहिली पायरी म्हणजे WatchGuard Cloud किंवा Firebox Policy Manager मध्ये RADIUS सर्व्हर सेट करणे. आपण प्रायमरी RADIUS सर्व्हरला आपल्या प्रदेशासाठीच्या Purple च्या IP ॲड्रेसवर पॉइंट करता. ऑथेंटिकेशन पोर्ट १८१२ वर असते आणि अकाउंटिंग पोर्ट १८१३ वर असते. आपण Purple द्वारे प्रदान केलेले शेअर्ड सिक्रेट प्रविष्ट करता आणि सर्वात महत्त्वाचे म्हणजे, NAS ID हा Firebox किंवा AP च्या MAC ॲड्रेसशी जुळत असल्याची खात्री करा. यामुळे विनंती कोणत्या वेन्यूमधून येत आहे हे Purple ला समजते. दुसरी पायरी म्हणजे प्रत्यक्ष Captive Portal रिडायरेक्शन. SSID सेटिंग्जमध्ये, आपण RADIUS Authentication सह Third-Party Hosted Captive Portal निवडता. आपण Purple स्पॅश पेज URL प्रविष्ट करता आणि पोर्टल शेअर्ड सिक्रेट प्रविष्ट करता. हे Purple Analyze डॅशबोर्डमध्ये तयार केलेले एक विशिष्ट सिक्रेट असते आणि ऑथेंटिकेशन विनंत्या प्रमाणित करण्यासाठी HMAC डायजेस्ट तयार करण्यासाठी याचा वापर केला जातो. HMAC-SHA1 अल्गोरिदम हे सुनिश्चित करतो की Purple कडून आलेला ऑथेंटिकेशन यशस्वी झाल्याचा संदेश खरा आहे आणि ट्रान्झिटमध्ये त्यात कोणतीही छेडछाड झालेली नाही. पायरी तीन, आणि याच ठिकाणी अनेक डिप्लोयमेंट्स अडखळतात, ती म्हणजे Walled Garden. आपण हे कॉन्फिगर न केल्यास, डिव्हाइस स्प्लॅश पेज लोड करू शकत नाही. आपण लॉगइन करण्यापूर्वी star dot mypurple dot com, api dot mypurple dot com, आणि cdn dot mypurple dot com ला प्रवेश मंजूर करणे आवश्यक आहे. आपण Microsoft Entra ID किंवा Google Workspace सारख्या सोशल लॉगइन्स वापरत असल्यास, आपल्याला त्या आयडेंटिटी प्रोव्हाइडर डोमेन्स देखील जोडण्याची आवश्यकता आहे. Walled Garden चा विचार प्री-ऑथेंटिकेशन लॉबी म्हणून करा. याशिवाय, अतिथी मुख्य दारापर्यंत देखील पोहोचू शकत नाही. आता, WatchGuard PPSK सह Multi-Tenant सेगमेंटेशन पाहूया. आपण १५ दुकाने असलेले रिटेल सेंटर व्यवस्थापित करत असल्यास, १५ वेगवेगळे SSIDs ब्रॉडकास्ट करणे हा एक चुकीचा दृष्टिकोन आहे. यामुळे को-चॅनेल इंटरफेरियन्स होतो, एअरस्पेस विस्कळीत होते आणि मॅनेजमेंट ओव्हरहेड निर्माण होते. PPSK हे अत्यंत सुलभतेने सोडवते. आपण एकच SSID ब्रॉडकास्ट करता, समजा Centre-Retail. आपण WatchGuard SSID सेटिंग्समध्ये Private Pre-Shared Key सक्षम करता, ज्यासाठी आपल्या WatchGuard Access Points वर फर्मवेअर व्हर्जन २.६ किंवा त्याहून उच्च आवृत्ती असणे आवश्यक आहे. Purple मध्ये, आपण प्रति टेनंट एक याप्रमाणे युनिक की तयार करता. ट्रॅफिक विलग करण्यासाठी, आपण Dynamic VLAN Assignment वापरता. WatchGuard Cloud मध्ये, आपण VLAN ला RADIUS द्वारे असाइन केलेले Dynamic VLAN म्हणून सेट करता. जेव्हा एखादे दुकान त्यांच्या विशिष्ट की चा वापर करून डिव्हाइस कनेक्ट करते, तेव्हा AP Purple च्या RADIUS सर्व्हरला Access-Request पाठवतो. Purple की प्रमाणित करते आणि तीन महत्त्वपूर्ण IETF RADIUS ॲट्रिब्युट्ससह Access-Accept पॅकेट परत पाठवते. Tunnel-Type, जे ॲट्रिब्यूट ६४ आहे, VLAN वर सेट केलेले असते. Tunnel-Medium-Type, ॲट्रिब्यूट ६५, ८०२ वर सेट केलेले असते. आणि Tunnel-Private-Group-ID, ॲट्रिब्यूट ८१, असाइन केलेल्या VLAN ID वर सेट केलेले असते, उदाहरणार्थ रिटेल टेनंट A साठी VLAN १००. त्यानंतर WatchGuard AP त्या डिव्हाइसला VLAN १०० वर ठेवतो, जे इतर टेनंट्सपासून पूर्णपणे विलग असते. हे प्रत्यक्ष व्यवहारातील Identity-Based Networking आहे. चला अंमलबजावणीच्या शिफारसी आणि सामान्य त्रुटींबद्दल चर्चा करूया. पहिली गोष्ट म्हणजे, सेशन टाईमआउट्स. री-ऑथेंटिकेशन सक्तीचे करण्यासाठी Purple आणि WatchGuard दोन्हीमध्ये कडक सेशन टाईमआउट्स कॉन्फिगर करा. हे आपले ॲनालिटिक्स अचूक ठेवते आणि जुने सेशन्स बँडविड्थ वापरणार नाहीत याची खात्री करते. आपले RADIUS Interim-Update इंटरव्हल्स १० मिनिटांवर सेट करा. दुसरी गोष्ट, फर्मवेअर. PPSK ला सपोर्ट करण्यासाठी आपले WatchGuard Access Points फर्मवेअर व्हर्जन २.६ किंवा त्याहून उच्च आवृत्तीवर चालत असल्याची खात्री करणे आवश्यक आहे. मागील फर्मवेअर आवृत्त्या या फीचरला सपोर्ट करत नाहीत. तिसरी गोष्ट, MAC रँडमायझेशन. आधुनिक डिव्हाइसेस डीफॉल्टनुसार त्यांचे MAC ॲड्रेसेस रँडमाइज करतात. आपल्या सुरक्षित स्टाफ WiFi नेटवर्कसाठी, स्थिर 802.1X ऑथेंटिकेशन सुनिश्चित करण्यासाठी आपल्या कर्मचाऱ्यांना त्या विशिष्ट SSID साठी हे फीचर अक्षम करण्यास सांगा. MAC रँडमायझेशनमुळे ऑथेंटिकेशन अयशस्वी होऊ शकते आणि विसंगत ॲनालिटिक्स डेटा येऊ शकतो. काहीतरी चुकीचे घडल्यास काय होते? जर Captive Portal लोड होण्यात अयशस्वी ठरले, तर आधी Walled Garden तपासा. जर डिव्हाइस DNS सोडवू शकले नाही किंवा Purple सर्व्हरपर्यंत पोहोचू शकले नाही, तर ते स्प्लॅश पेज ऐवजी टाइमआउट त्रुटी दर्शवेल. जर VLAN स्टीयरिंग अयशस्वी झाले आणि क्लायंटला चुकीच्या VLAN कडून IP मिळाला, तर Purple पोर्टल मधील RADIUS लॉग्स तपासा. Tunnel-Private-Group-ID ॲट्रिब्यूट स्ट्रिंग म्हणून योग्यरित्या फॉरमॅट केले आहे आणि AP ला जोडलेल्या स्विच पोर्टवर प्रत्यक्षात अस्तित्वात असलेल्या VLAN शी जुळत असल्याची खात्री करा. जर तुम्हाला WatchGuard लॉग्समध्ये HMAC डायजेस्ट त्रुटी दिसल्या, तर तुमचा Captive Portal शेअर्ड सिक्रेट WatchGuard आणि Purple दरम्यान जुळत नाही. ते दोन्ही सिस्टममध्ये अक्षरशः एकसारखे असणे आवश्यक आहे. आता झटपट प्रश्नोत्तरांची वेळ. प्रश्न: मी एकाच SSID वर PPSK आणि Captive Portal वापरू शकतो का? उत्तर: नाही. WatchGuard एकाच SSID वर एकाच वेळी PPSK द्वारे डायनॅमिक VLAN आणि Captive Portal चालवण्यास समर्थन देत नाही. तुम्हाला पोर्टलसाठी एक SSID आणि PPSK साठी स्वतंत्र SSID आवश्यक आहे. त्यानुसार तुमच्या SSID आर्किटेक्चरचे नियोजन करा. प्रश्न: जर RADIUS सर्व्हरने PPSK वापरकर्त्यासाठी VLAN ID परत केला नाही तर काय होईल? उत्तर: WatchGuard Cloud मध्ये, तुम्ही Unassigned Clients फॉलबॅक पर्याय कॉन्फिगर करू शकता. ते कॉर्पोरेट नेटवर्कमध्ये प्रवेश मिळवणार नाहीत याची खात्री करण्यासाठी तुम्ही त्यांना अनटॅग केलेल्या VLAN वर किंवा विशिष्ट आयसोलेटेड क्वारंटाईन VLAN वर पाठवू शकता. अपघाती प्रवेश टाळण्यासाठी नेहमी हा फॉलबॅक कॉन्फिगर करा. थोडक्यात सांगायचे तर, WatchGuard Firebox ला Purple सह एकत्रित केल्याने तुम्हाला Guest, Staff, आणि Multi-Tenant नेटवर्कवर सुरक्षा, ओळख आणि ॲनालिटिक्ससाठी एक युनिफाइड प्लॅटफॉर्म मिळतो. तुम्ही अतिथींसाठी बाह्य Captive Portal रिडायरेक्शन, कर्मचाऱ्यांसाठी 802.1X, आणि मल्टी-टेनंट वातावरणासाठी डायनॅमिक VLAN सह PPSK वापरता. ROI स्पष्ट आहे. तुम्ही गेटवे एकत्रित करून हार्डवेअर खर्च कमी करता, एकाच क्लाउड प्लॅटफॉर्मद्वारे व्यवस्थापन सुलभ करता आणि Purple Captive Portal द्वारे फर्स्ट-पार्टी डेटा गोळा करून महसूल वाढवता. तुमचे पुढील पाऊल म्हणजे तुमच्या सध्याच्या SSID आर्किटेक्चरचे पुनरावलोकन करणे, तुमचे WatchGuard फर्मवेअर व्हर्जन 2.6 किंवा त्याहून उच्च असल्याची खात्री करणे आणि Purple पोर्टलमध्ये तुमचे RADIUS सेटिंग्ज कॉन्फिगर करण्यास सुरवात करणे. ऐकल्याबद्दल धन्यवाद.